Iptables interdire 2 IP

Support Debian
#1

Bonjour a tous,

Petite question sur IPTABLES,

Sur un server, les règles D’INPUT OUTPUT et DE FORWARD sont en ACCEPT.
Donc pas pratique, je dois autoriser uniquement 2 IP coté LAN a sortir.

Comme tout est aurotisé j’ai cré une règle en Insert pour drop :

$IPTABLES -I FORWARD -i $LAN_IFACE -p tcp --source ! 192.168.1.2 --dport 25 -o $WAN_IFACE -j DROP

Y a t’il un moyen d’ajouter une 2 eme IP dans cette règle comme
$IPTABLES -I FORWARD -i $LAN_IFACE -p tcp --source ! 192.168.1.2 & 192.168.1.2 --dport 25 -o $WAN_IFACE -j DROP (marche pas avec le & ni avec le and)

Merci

#2

je n’en suis pas sûr mais essaie avec ‘:’ entre les deux IP
tu as regardé le man de iptables :question:

#3

Peut-être pourrais-tu préciser quelles sont les adresses que tu veux interdire? Elles sont sur le même réseau? Internes? des adresses routables? Fixe? dynamiques? Que veux-tu faire, exactement?

#4

Merci de vos réponses,

Le “:” est généralement fais pour une plage donc j’ai peur que ca ne corresponde pas…

Les Ips sont fixe, les réseau sont complétement différent, 204.0.0.0/24 pour l’une et 192.168.1.0/24 pour l’autre

IP 204.0.0.63 et 192.168.1.52

Dans le man j’ai rien vu qui pourrai m’aider.
J’ai le bouqin iptables précis et concis, c’est pareil, rien vue là dessu.

#5

J’essayerais bien :

ou

Même si je n’y crois pas trop a priori…

Sinon, pourquoi ne pas mettre FORWARD en DROP par défaut, puis autoriser les 2 IPs :

IPTABLES -I FORWARD -i $LAN_IFACE -p tcp --source 204.0.0.0/24 --dport 25 -o $WAN_IFACE -j ACCEPT IPTABLES -I FORWARD -i $LAN_IFACE -p tcp --source 192.168.1.0/24 --dport 25 -o $WAN_IFACE -j ACCEPT

#6

Je n’ai pas encore testé les règles mais je pense avoir contourné le problème.

Comme tout est autorisé via des règles d’Append j’ai créé 2 règles D’Insert :

$IPTABLES -I FORWARD -i $LAN_IFACE -p tcp --source 204.0.0.63 --dport 25 -o $WAN_IFACE -j ACCEPT

$IPTABLES -I FORWARD -i $LAN_IFACE -p tcp --source ! 192.168.1.52 --dport 25 -o $WAN_IFACE -j DROP

Vous en pensez quoi ?

#7

Ben, tu as accepté l’une et refusé l’autre. Why not? je ne suis pas un spécialiste, mais ça a l’air ok.

Fais un test, et tu sauras. Tu as accès à la machine dont tu cites l’adresse? Log toi dessus et essaie un telnet sur le port 25.